Impatto Sistemico

Alto (66.53)

Sintesi

Disponibile un Proof of Concept (PoC) per la CVE-2026-40933 – già sanata dal vendor – presente in Flowise, piattaforma open-source con interfaccia drag & drop per costruire flussi personalizzati basati su modelli linguistici di grandi dimensioni (LLM). Tale vulnerabilità riguarda il componente Custom MCP di Flowise che potrebbe consentire ad un utente malintenzionato remoto di eseguire codice arbitrario sui sistemi interessati.

Tipologia

• Remote Code Execution

Descrizione e potenziali impatti

È stato recentemente reso pubblico un Proof of Concept (PoC) per lo sfruttamento della vulnerabilità CVE-2026-40933 – di tipo “Remote Code Execution” con score CVSS v3.x pari a 9.9 – che interessa il componente Custom MCP della piattaforma. La vulnerabilità interessa il parametro command e i relativi: a causa di meccanismi di controllo non adeguati, risulterebbe possibile l’esecuzione di comandi arbitrari sul sistema operativo, portando potenzialmente alla compromissione completa dei sistemi target.

Prodotti e/o versioni affette

Flowise

• Versioni precedenti alla 3.0.13 (compresa)

Azioni di mitigazione

Ove non provveduto, si raccomanda di aggiornare tempestivamente i prodotti vulnerabili all’ultima versione disponibile.